IAM

개요

• AWS 인프라에서의 신분 및 접근 관리
• 관리자는 IAM 통해 서비스 사용 권한 부여
• 유저, 그룹은 보안 유지된 상태로 리소스에 접근
• 감사, 로그분석, 모니터링, 계정별 활동 리뷰 활용

신분 인증

• 리소스에 접근하려는 사용자의 신분 확인 체계
• 유저 생성, 액세스 키, MFA 등 보안 수단 관리
• 유저 접근 허용 관리, 유저 수행 작업 세부 통제
• 싱글사인온 로그인 연합 인증 유저 관리(구글,페이스북 등 계정을 통해 로그인 가능 함)

권한 부여

• 사용자 행동 세부적 관리, 접근 권한 부여 체계
• 최소 권한 부여 보안 컨셉 구현(Least Privileges)
• 누가, 언제, 어떤 리소스에, 어떤 일을 할지 정의
• IAM 정책을 통해 각종 작업에 대한 권한 부여
• IAM 정책 : JSON 형식 접근 제한 규칙 모음

EX) S3 읽기 전용 접근권한 IAM 정책

"Version": "2012-10-17",
"Statement":[
{
 "Effect": "Allow",
 "Action":["s3:ListBucket"],
 "Resource":["arn:aws:s3:::<butket_name>"]
 },
 {
 "Effect": "Allow",
 "Action":["s3:GetObject"],
 "Resource":["arn:aws:s3:::<butket_name>/*"]

Resource : S3 특정 버킷 지정

Action : S3 관련 동작(작업) 지정

Effect : 허용 / 불허

Condition : 추가 실행 조건 지정

가능 : 버킷 목록 확인, 버킷 내 파일 다운로드

불가능 : 버킷에 파일 업로드, 새 버킷 생성(허용하지 않는 모든것은 불가능)

AWS 보안자격정보

• e-mail, passwords : 루트 계정 생성 및 로그인
• user name, passwords: 관리 콘솔 로그인
• access keys: CLI, API, SDK 활용시 주로 사용(root는 access keys 안만드는것을 권장)
• key-pair: Amazon EC2 서버 로그인시 사용
• MFA : 루트 계정의 추가 보안 인증 수단

루트 계정 관리

• AWS 회원 가입시, 루트 계정 자동 생성
• AWS 리소스에 대한 무제한의 접근 권한 보유
• First-time access only, 루트로 로그인 후 관리자 계정 생성 후 root 계정 사용하지 않음
• 철저한 보안 : 불용 전략, 어드민 권한 사용
• 루트 계정 로그인시 MFA 등 보안 요소 추가, 강력한 암호 정책
• 루트 유저용 액세스 키 생성 금지 : 프로그래밍 접근 불가(access key 만들지 말것 권장)

액세스 키

• CLI, SDK, API 등 프로그래밍 방식 접근
• Access Key ID, Secrete Access Key 조합
• 비대칭 키 방식 : 공개키-비공개키 조합

---

시스템 관리자는 어떻게 사용자의 AWS  Management Console에 로그인 보안 계층을 추가합니까?

MFA 추가하기

 

다음 중 AWS Identity adn Access Management를 사용하여 구현 할 수 있는 보안 모범 사례는 무엇인가요?

1. 모든 사용자에 대한 AWS 관리 콘솔 액세스를 해제합니다.
2. 모든 IAM 사용자에 대한 비밀 키를 생성합니다.
3. 사용자에게 특정 태스크에 대한 수행 권한만을 부여합니다.
4. AWS 자격 증명을 Amazon EC2 인스턴스 내에 저장합니다.

---

IAM 그룹

• 그룹 : 다수의 역할과 권한을 지닌 개체
• 하나의 그룹에 다수의 유저 개체 추가 가능
• 하나의 유저는 다수의 그룹에 포함될 수 있음
• 그룹에 추가된 유저는 그룹의 역할, 권한을 상속

가상의 기업

• 물류 서비스 기업
• 물류 빅데이터 전략적 활용 목표
• 공동 대표 2인 포함, 10인의 임직원
• 경영(MN), 운영(OP), 개발(DV), 분석(AN) 등 4개 팀

Logistar 업무 조직

경영, 개발, 운영, 분석 그룹

 

IAM 유저

• 계정에 추가된 유저(우리 부서원)
• AWS 리소스에 대한 장기 접근 권한 제공 가능
• 프로그래밍 작업을 위해 액세스 키 발급 가능
• 롤 부여 방식으로 임시 접근 권한 제공
• 우리 부서 외부 사용자 : 임시 보안 자격 또는 SSO 접근 허용
• IAM Identity Center : 계정, 앱 액세스 권한의 중앙화 관

Cognito

• AWS 내외부 사용자의 회원가입, 로그인 지원, 모바일 앱 로그인 구현(로그인 구현 시 사용)
• Cognito User Pools: 앱 유저 위해 회원가입 기능 등 제공
• Cognito Identity Pools: 클라이언트에서 AWS 리소스에 직접 접근하기 위한 AWS ID 제공

AWS Orgnizations

• 대규모 기업 조직을 위한 중앙집중식 리소스 관리 체계, 거버넌스 도구
• OU(Orgnizational Unit): 조직 단위, Organization 계정의 논리 그룹 / 다양한 부서를 분할 해서 관리
• SCP(Service Control Policy): 서비스 제어 정책, 서비스 작업 정의  / 조직단위 서비스 관리 방식

IAM 개요와 주요 구성 요소 정리

• 그룹 : 우리 부서원만 포함하는 개념(외부 파트너 감사팀원 룰 부여)
• 유저 : 물리적 사용자에 대응, AWS 관리 콘솔 암호 사용
• 정책 : 그룹, 유저의 권한을 설명하는 JSON 문서
• 롤 : EC2 등 AWS 서비스 또는 외부 파트너에 접근 권한 부여
• AWS CLI : 명령줄 기반 AWS 서비스 관리 도구
• AWS SDK : 애플리케이션 개발 시 AWS 리소스 연동 관리 도구
• 액세스 키 : CLI 또는 SDK를 사용하여 AWS에 액세스
• 감사 : IAM Credential Report 및 IAM Access Advisor

유형 분석

EC2 인스턴스에서 실행되는 애플리케이션 서버에서 프라이빗 S3 버킷 내의 콘텐츠에 액세스해야 합니다. 이 요구 사항을 충족하기 위해 권장되는 접근 방식은 무엇인가요?

• 적절한 권한의 IAM 역할을 생성, 역할을 EC2 인스턴스와 연결
• EC2 인스턴스와 S3 간 프라이빗 통신을 위해 VPC 피어링 연결을 구성
• 공유 액세스 키를 생성, 하드코딩된 키를 사용하도록 EC 인스턴스를 구성
• 보안 소스에서 액세스 키를 읽도록 애플리케이션을 구성

AWS 통합 결제의 이점은...

• 대량 구매 요금 자격
• 공유 액세스 권한
• 각 계정에 대한 여러 청구서
• 리소스를 태깅할 필요가 없어짐

---

참조사이트:

https://rollercoaster25.tistory.com/165

IAM 그룹